waf绕过
1.导图
信息收集:
测试环境:
aliyun-os,bt,safedog
绕过分析:
抓包技术,waf说明,fuzzing测试
绕过手法:
数据包特征:请求方式,模拟用户,爬虫引擎,白名单机制
请求速度:延时,代理池,爬虫机制,白名单机制。
2.分为四块:
信息收集绕过
漏洞发现绕过
漏洞利用绕过
权限控制绕过
3.绕过
未开cc防护:注意请求方式是否和人工请求时相同。
开上cc防护:注意流量监测。
waf绕过之漏洞发现之代理池指纹识别
1.导图
漏洞发现
工具:
综合:awvs,xray,appscan
单点:tpscan,wpscan,struts2-scan
触发:
扫描速度:延时,代理池,白名单
工具指纹:特征修改,模拟用户
漏洞payload:数据变异,冷门扫描。